Documentation sur Oracle Cloud Infrastructure

Faire pivoter les portefeuilles pour une base de données autonome basée sur l'IA

La rotation de portefeuille vous permet d'invalider les clés de certification de client existantes pour une instance de base de données ou pour toutes les instances de base de données d'intelligence artificielle autonome dont dispose un compte en nuage dans une région.

Rubrique parent : Sécurité

À propos de la rotation de portefeuille

Vous avez la possibilité d'effectuer l'un des deux types de rotation du portefeuille : immédiat ou avec un délai de grâce.

  • La rotation du portefeuille Immédiate est lancée immédiatement, sans délai.

  • La rotation du portefeuille Après un délai de grâce se produit avec un délai de grâce. Pendant le délai de grâce, les anciennes clés de certificat client restent valides pendant 1 à 72 heures en fonction de votre sélection précédente. Après l'expiration du délai de grâce, seules les nouvelles clés de certification du client sont valides.

Vous pouvez effectuer une rotation des portefeuilles pour l'une des raisons suivantes :

  • Si les politiques de votre organisation nécessitent une rotation régulière des clés de certification des clients.

  • Lorsqu'une clé de certification client ou un jeu de clés est suspecté d'être compromis.

Faire pivoter les portefeuilles avec une rotation immédiate

La rotation immédiate du portefeuille vous permet d'invalider les clés de certification de client existantes pour une instance de base de données d'intelligence artificielle autonome ou pour toutes les instances de base de données d'intelligence artificielle autonome dont dispose un compte en nuage dans une région.

Il existe deux options pour la rotation immédiate des clés de certification de client :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :
    • Pour la base de données dont la clé de certification est pivotée, tous les portefeuilles d'instance spécifiques à la base de données existants seront annulés. Après avoir effectué la rotation d'un portefeuille, vous devez télécharger un nouveau portefeuille pour vous connecter à la base de données.
    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.
    • Toutes les sessions d'utilisateur sont interrompues pour la base de données dont le portefeuille fait l'objet d'une rotation. La fin de la session d'utilisateur commence après la fin de la rotation du portefeuille. Toutefois, ce processus ne se produit pas immédiatement.
    Note

    Si vous voulez mettre fin à toutes les connexions immédiatement après la fin de la rotation du portefeuille, Oracle vous recommande de redémarrer l'instance de base de données du service d'intelligence artificielle autonome. Il s'agit du niveau de sécurité le plus élevé pour votre base de données.
  • Niveau régional avec Portefeuille régional sélectionné :
    • Pour la région dont la clé de certification est pivotée, les portefeuilles d'instance régionaux et propres à la base de données seront annulés. Après avoir effectué la rotation d'un portefeuille, vous devez télécharger de nouveaux portefeuilles régionaux ou d'instance pour vous connecter à n'importe quelle base de données de la région.
    • Toutes les sessions d'utilisateur sont arrêtées pour les bases de données de la région dont le portefeuille fait l'objet d'une rotation. La fin de la session d'utilisateur commence après la fin de la rotation du portefeuille. Toutefois, ce processus ne se produit pas immédiatement.
    Note

    Si vous voulez mettre fin à toutes les connexions immédiatement après la fin de la rotation du portefeuille, Oracle vous recommande de redémarrer les instances de base de données du service d'intelligence artificielle autonome dans la région. Il s'agit du niveau de sécurité le plus élevé pour votre base de données.

Pour effectuer une rotation immédiate de la clé de certification du client pour une base de données donnée ou pour toutes les instances de base de données Autonomous AI Database dont un compte en nuage est propriétaire dans une région :

  1. Naviguez jusqu'à la page des détails de la base de données d'IA autonome.
  2. Cliquez sur Connexion à la base de données.
  3. Dans la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • Portefeuille d'instance : Rotation du portefeuille pour une seule base de données; cela fournit une rotation du portefeuille propre à la base de données.
    • Portefeuille régional : Rotation du portefeuille pour toutes les bases de données d'intelligence artificielle autonomes pour un locataire et une région donnés (cette option fait pivoter la clé de certification du client pour toutes les instances de service détenues par un compte en nuage).
  4. Cliquez sur Effectuer une rotation de portefeuille.
  5. Entrez le nom indiqué dans la boîte de dialogue pour confirmer la rotation du portefeuille.
  6. Dans la boîte de dialogue Rotation du portefeuille, cliquez sur Effectuer la rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ Dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Oracle recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finaux et à l'utilisation de l'application lorsque cela est possible, avec le type de portefeuille réglé à Portefeuille d'instance lorsque vous utilisez Télécharger le portefeuille. Les portefeuilles régionaux ne doivent être utilisés qu'à des fins administratives qui nécessitent un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et UpdateAutonomousDatabaseWallet. Pour plus d'informations, voir Informations de référence sur le portefeuille Autonomous Database.

Faire pivoter les portefeuilles avec délai de grâce

Autonomous AI Database vous permet de faire pivoter les portefeuilles d'une instance Autonomous AI Database ou de toutes les instances appartenant à un compte en nuage dans une région, avec une période de grâce de 1 heure à 72 heures.

La définition d'un délai de grâce vous permet d'effectuer la rotation du portefeuille sans temps d'arrêt. Pendant le délai de grâce, vous pouvez informer les utilisateurs de télécharger le nouveau portefeuille et de mettre à jour leurs applications pour qu'elles utilisent le nouveau portefeuille. Pendant le délai de grâce, les anciennes et les nouvelles clés de certification de client sont valides. À l'expiration du délai de grâce, Autonomous AI Database invalide les anciennes clés de certification de client et seules les nouvelles clés de certification de client sont valides.

Il existe deux options pour la rotation des clés de certification de client avec un délai de grâce :

  • Par base de données avec l'option Portefeuille d'instance sélectionnée :

    • Pour la base de données dont la clé de certification fait l'objet d'une rotation, les portefeuilles d'instance propres à la base de données qui étaient utilisés avant la rotation du portefeuille sont annulés après l'expiration du délai de grâce.

    • Après avoir effectué une rotation de clé de certification de client avec un délai de grâce, vous pouvez télécharger immédiatement un portefeuille et utiliser le nouveau portefeuille pour vous connecter à la base de données.

    • Les portefeuilles régionaux contenant toutes les clés de certification de base de données continuent de fonctionner.

    • Une fois le délai de grâce expiré, les connexions existantes utilisant l'ancien portefeuille continuent de fonctionner.

    Note

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions à l'aide de l'ancien portefeuille, Oracle recommande de redémarrer l'instance de base de données du service d'intelligence artificielle autonome.
  • Niveau régional avec Portefeuille régional sélectionné :

    • Pour la région dont la clé de certification est pivotée, les portefeuilles d'instance régionaux et propres à la base de données seront annulés. Après l'expiration du délai de grâce, vous devez télécharger de nouveaux portefeuilles régionaux ou d'instance pour vous connecter à n'importe quelle base de données de la région.

    • Après l'expiration du délai de grâce, les connexions existantes utilisant les anciens portefeuilles continuent de fonctionner.

    Note

    Une fois le délai de grâce terminé, si vous voulez mettre fin à des connexions à l'aide des anciens portefeuilles, Oracle vous recommande de redémarrer chaque instance de base de données du service d'intelligence artificielle autonome dans la région.

Pour effectuer la rotation de la clé de certification du client avec un délai de grâce pour une base de données donnée ou pour toutes les instances de base de données IA autonome dont dispose un compte en nuage dans une région :

  1. Naviguez jusqu'à la page des détails de la base de données d'IA autonome.
  2. Cliquez sur Connexion à la base de données.
  3. Dans la page Connexion à la base de données, sélectionnez le type de portefeuille :
    • Portefeuille d'instance : Rotation du portefeuille pour une seule base de données; cela fournit une rotation du portefeuille propre à la base de données.
    • Portefeuille régional : Rotation du portefeuille pour toutes les bases de données d'intelligence artificielle autonomes pour un locataire et une région donnés (cette option fait pivoter la clé de certification du client pour toutes les instances de service de la région détenue par un compte en nuage).
  4. Cliquez sur Effectuer une rotation de portefeuille.
  5. Sélectionnez Après un délai de grâce.
  6. Dans la zone Période de grâce (en heures), entrez une valeur dans le champ de texte.
  7. Entrez le nom de la base de données, comme indiqué dans la boîte de dialogue, pour confirmer la rotation du portefeuille.
  8. Dans la boîte de dialogue Rotation du portefeuille, cliquez sur Effectuer la rotation.

La page Connexion à la base de données affiche : Rotation en cours.

Une fois la rotation terminée, le champ Dernière rotation du portefeuille affiche la date et l'heure de la dernière rotation.

Notes pour la rotation du portefeuille avec un délai de grâce :

  • Les bases de données autonomes d'IA de type Toujours gratuit prennent uniquement en charge la rotation immédiate du portefeuille (la rotation du portefeuille avec un délai de grâce n'est pas prise en charge).

  • Oracle recommande de fournir un portefeuille d'instance propre à la base de données aux utilisateurs finaux et à l'utilisation de l'application lorsque cela est possible, avec le type de portefeuille réglé à Portefeuille d'instance lorsque vous utilisez Télécharger le portefeuille. Les portefeuilles régionaux ne doivent être utilisés qu'à des fins administratives qui nécessitent un accès potentiel à toutes les bases de données autonomes d'une région.

Vous pouvez également utiliser l'API Autonomous Database pour effectuer la rotation des portefeuilles à l'aide de UpdateAutonomousDatabaseRegionalWallet et UpdateAutonomousDatabaseWallet. Pour plus d'informations, voir Informations de référence sur le portefeuille Autonomous Database.